You are on page 1of 6

¿QUÉ ES LA GESTIÓN DE PARCHES Y CAMBIOS?

La gestión de parches y cambios se define como el conjunto de procesos


ejecutados dentro del departamento de TI de la organización diseñado para
gestionar mejoras, actualizaciones, correcciones progresivas y parches en los
sistemas de producción.

¿POR QUÉ LA GESTIÓN DE PARCHES Y CAMBIOS DE TI ES IMPORTANTE?


▪ Porque Gastan menos dinero y energía de TI en trabajo no planificado.
▪ Destinan más cantidad de dinero y energía de TI a nuevos trabajos y a
alcanzar las metas del negocio, Tienen menos tiempo improductivo,instalan
parches con interrupciones mínimas.
▪ Importancia de la gestión de parches y cambios
▪ Gastan menos dinero y energía de TI en trabajo no planificado.
▪ Destinan más cantidad de dinero y energía de TI a nuevos trabajos y a
alcanzar las metas del negocio.
▪ Tienen menos tiempo improductivo.
▪ Instalan parches con interrupciones mínimas.
▪ Se concentran más en las mejoras y menos en “apagar incendios”.
▪ Interés en la forma en que se gestiona el cambio
▪ La gestión del cambio no sólo es un control básico clave, sino que también
▪ ofrece potenciales beneficios para el negocio.

En las organizaciones de bajo rendimiento, la gerencia no puede confiar en la


gestión del cambio de TI para respaldar su negocio adecuadamente.

En contraste, las organizaciones de gestión del cambio de TI de alto rendimiento


pueden proporcionar información centrada y exacta para ajustar su propio
desempeño, y para permitir a la gerencia y a los auditores evaluar el proceso de
gestión del cambio junto con la capacidad de respaldar los procesos del negocio
afectados.
Un aspecto clave de la gestión eficaz es que la organización tiene controles
amplios, bien definidos, preventivos, de detección y corrección, así como una clara
definición y separación de los roles.

En la mayoría de las organizaciones no se trata de si existe o no un proceso de


gestión del cambio, se trata de si el proceso es tan eficaz y eficiente como es
posible y si se utiliza para todos los cambios de TI. Las investigaciones señalan
que los departamentos de TI de alto rendimiento están continuamente buscando
formas de mejorar sus procesos operativos, incluida la gestión del cambio.

Al mejorar el control y la predictibilidad de los cambios en los sistemas y las redes,


su departamento de TI estará encaminado a convertirse en una organización de
primer nivel.

La empresa está en posición de actuar en nuevas oportunidades de negocios que


requieren una capacidad de TI adicional o actualizada.

Los productos y servicios respaldados por la TI se lanzan al mercado según lo


planeado y esperado, funcionan tal como se anunció y muestran un nivel de
calidad de servicio y producto confiable y uniforme con una disminución de la
demanda de recursos que ofrecen los centros de asistencia/mesa ayuda al cliente.

Las partes interesadas apropiadas están involucradas en la evaluación de los


riesgos asociados a los cambios propuestos y priorizan su implementación.
La cultura de la gestión del cambio se hace evidente en el entendimiento, la
conciencia, el patrocinio visible y la acción.
LA ADMINISTRACIÓN DE UNA ORGANIZACIÓN UTILIZA EL PROCESO DE
GESTIÓN DEL CAMBIO DE TI PARA:

• Garantizar que los cambios de TI respondan a las necesidades de la


organización y crean valor de negocio.
• Anticipar y administrar los problemas que se pueden generar en el entorno
de producción como resultado de los cambios.
• Promover la eficacia y la eficiencia de los esfuerzos de la gestión del
cambio de TI.
• Indicadores de riesgo de una gestión de cambios
• Cambios no autorizados (un valor por encima de cero no es aceptable).
• Interrupciones no planificadas.
• Baja tasa de éxito del cambio.
• Gran cantidad de cambios de emergencia.
• Demoras en las implementaciones de proyecto.

QUÉ HACER PARA GESTIONAR EL CAMBIO CON EFICACIA?

Los entornos de producción estables y bien administrados exigen que la


implementación de cambios sea predecible y repetible, que obedezca a un
proceso controlado que se pueda definir, supervisar e implementar.
Controles de TI:

Separación de controles de funciones (que son de naturaleza preventiva) y de


controles de supervisión (que son de naturaleza preventiva y de detección).

¿QUÉ DEBERÍA HACER AUDITORÍA INTERNA?

La auditoría interna puede ayudar a la dirección y al consejo de administración


implementando las siguientes acciones:
Comprender los objetivos de la organización relaciona-dos con la confidencialidad,
integridad y disponibilidad del procesamiento de TI.

Ayudar a identificar los riesgos que pueden surgir a partir de los cambios y
determinar si tales riesgos son coherentes con el grado de apetito de riesgo y
tolerancia dela organización y Ayudar en la toma de decisión en cuanto a elegir
una cartera apropiada que responda a la gestión de riesgos.

¿QUÉ ESTRATEGIAS FUNCIONAN?


Para ser eficaz, la gestión del cambio de TI debe proporcionar a la dirección de la
organización un grado de visibilidad en los siguientes puntos:
• ¿Qué es lo que se cambia, por qué y cuándo?
• ¿Cómo se implementan los cambios eficiente y eficazmente?
• ¿Cuáles son los problemas ocasionados por los cambios y qué ¿grado de
severidad tienen?
• ¿Cuánto cuestan los cambios?
• ¿Cuáles son los beneficios que brindarán los cambios?

MODELO COSO ERM

Monitorización
información y comunicación
Actividades de control
Evaluación de riesgo
Identificación del evento
Determinación de objetivos
Entorno interno
CONTROLES DE GESTIÓN DE PARCHES Y CAMBIOS PARA EL ÉXITO DE LA
ORGANIZACIÓN.

➢ Revisiones al código de aplicación.


➢ Actualizaciones de sistemas (aplicaciones, sistemas operativos, bases de
datos).
➢ Cambios de infraestructura (servidores, cables, ruteadores, filtros de
seguridad, etc.).
➢ Controles de gestión de parches y cambios: cruciales para el éxito de la
organización.
➢ Una gestión del cambio deficiente se puede identificar rápidamente
Tiene como propósito de ayudarlo a evaluar rápidamente el nivel general de
riesgo del proceso y a determinar si es necesaria una revisión más
detallada de ese proceso.

LOS PRIMEROS CINCO INDICADORES DE RIESGO DE UNA GESTIÓN DE


CAMBIO DEFICIENTE:

• Cambios no autorizados (un valor por encima de cero no es aceptable)


• Interrupciones no planificadas
• Gran cantidad de cambios de emergencia
• Baja tasa de éxito del cambio Y Demoras en las implementaciones de
proyecto
• Gestión del cambio
• Solicitud del cambio
• Procedimiento propuesto para una adición, modificación o eliminación de
elementos aprobados, respaldados o básicos de hardware, red, software,
aplicación, entorno, sistema, compilación de escritorio o documentación
asociada.
• Cambio autorizado
• Solicitud de cambio para un procedimiento de cambio que ha sido aprobado
por de asesoramiento para el cambio.

CAMBIO NO AUTORIZADO

Cambio detectado mediante los controles de detección de producción que no se


puede asociar a un cambio autorizado. Los ejemplos de las variaciones que
podrían generar un cambio no autorizado son los siguientes: Quién, Qué, Dónde y
Cuándo.

LOS CINCO PASOS PRESCRIPTIVOS QUE LA MAYORÍA DE LAS


ORGANIZACIONES PUEDEN ADOPTAR DE INMEDIATO PARA MEJORAR
SUS PROCESOS DE GESTIÓN DEL CAMBIO SON LOS SIGUIENTES:

1. Crear un ambiente en la alta dirección que motive la necesidad de una


cultura de gestión del cambio en toda la empresa, que a su vez esté
respaldada por una declaración de la gerencia de TI.
2. Monitorizar continuamente la cantidad de interrupciones no planeadas.
3. Reducir la cantidad de cambios que implican riesgos al establecer de
manera específica períodos para congelación de cambios y mantenimiento
bien definidos y de estricto cumplimiento
4. Utilice la tasa de éxito del cambio como un indicador clave del desempeño
de la gestión de TI.
5. Utilice el trabajo no planificado como indicador de eficacia de los procesos y
controles de gestión de TI.
Los primeros cinco pasos para minimizarlos riesgos del cambio de TI.